Respostas:
Usando uma mistura de flash, java e javascript, um site pode descobrir:
Hardware só pode vazar se houver um plugin específico para ele (não é um caso comum), ou se algum ActiveX verifica.
Um novo elemento HTML5 device
vai permitir o uso de webcams etc, isso provavelmente será uma abstração e só vai dizer se você tem um ou não, ao invés da marca.
Dê uma olhada em https://panopticlick.eff.org/ para uma análise interessante do que seu navegador informa a um site.
Até onde eu sei, seu endereço MAC não está exposto a nenhum site - se fosse, por que, por exemplo, os anunciantes se preocupariam em tentar rastreá-lo através de tantos métodos diferentes, quando havia um infalível? Nenhuma das especificações de hardware do seu PC está incluída na solicitação, embora seu navegador seja exposto em sua sequência do User Agent, e isso também inclui o sistema operacional. Você pode mudar isso trivialmente, por isso não é infalível por qualquer meio. Seu ISP não pode ver seu endereço MAC, iirc, já que eu não acredito que saia da sua rede local, presumindo que você esteja conectando através de um roteador.